News

CyanogenMod weißt Vorwurf von Schlampigkeit zurück

CyanogenMod

Eine der ersten im richtig großen Stil erfolgreichen Custom ROMs bzw. Aftermarket Firmwares für Android ist CyanogenMod gewesen. Das 2009 von Steve „Cyanogen“ Kondik gegründete Projekt hat in den letzten Monaten etliche Veränderungen erlebt und sich versucht noch weiter der Community zu öffnen. Da kann man den Vorwurf von geringen Kenntnissen nicht auf sich sitzen lassen.

Sicherheit spielt in unserer heutigen digital geprägten Gesellschaft eine große Rolle. Gerade die medial aufgebauschten angeblichen Attacken auf bekannte Cloud-Dienste wie Dropbox oder der iCloud von Apple zeigen: Sicherheit beginnt nicht erst in der Cloud sondern schon beim Nutzer und dessem Gerät selbst. Insofern wiegt der Vorwurf von The Register gegen CynaogenMod sehr schwer in welchem behauptet wird, dass man eine bekannte Sicherheitslücke in den Quellcode des Projekts aufgenommen habe, die wegen mangelnder Fähigkeiten nicht entdeckt wurde.

CyanogenMod ist führend bei der Android-Sicherheit

Diesen Vorwurf kann das inzwischen kommerziell ausgerichtete Projekt natürlich nicht auf sich sitzen lassen und hat nun reagiert. Gleich zu Beginn des Artikels von CyanogenMod wird darauf hingewiesen, dass der betreffende Artikel von The Register an gleich mehreren Stellen nicht korrekt ist.

  • Erstens geht es um die JSSE-Implementation, welche sogenannte Man-in-the-Middle-Angriffe ermöglicht laut besagtem Artikel von The Register. Allerdings gibt CyanogenMod zu bedenken, dass die betreffende Quellcode-Komponente überhaupt nicht mehr in Android 4.4 KitKat genutzt wird, sodass wenn überhaupt lediglich Android 4.3 Jelly Bean oder älter betroffen seien von der Lücke.
  • Zweitens übernimmt das CyanogenMod-Team derart tiefgreifende Teile des Quellcodes direkt vom AOSP-Projekt und rührt diesen Teil nur sehr selten überhaupt an, sodass im Prinzip alle auf dem AOSP-Quellcode basierenden Android Firmwares den Fehler ebenso enthalten. Oder kurz gesagt: Jedes einzelne Android-Smartphone, ob mit Stock Firmware oder Custom ROM wäre davon betroffen. CyanogenMod ist somit bei weitem nicht die Quelle für den Fehler an sich.
  • Und Drittens ist die Veröffentlichung der Lücke laut CyanogenMod bereits über zwei Jahre alt was wiederum zu einer weiteren Eigenschaft des Projektes führt: Die Entwickler von CyanogenMod gehören mit zu den Ersten die Fehler im Android-Quellcode finden, diesen publik machen und versuchen zu beheben. Zumal das Team meistens deutlich schneller ist als OEM-Partner von Google. Als Beispiel nennt CyanogenMod die Towelroot-Lücke oder die „Master Key“-Sache.

Was jedoch aus Sicht der Entwickler am schwersten wiegt an dem Vorwurf: Ohne die Mithilfe vom Autor des Artikels von The Register ist die angebliche Sicherheitslücke anscheinend nicht auffindbar im Quellcode von CyanogenMod. Es gibt auch keine andere Referenz für den angeblichen Fehler, um eigene Nachforschungen anstellen zu können.

[Quelle: CyanogenMod]

Beitrag teilen:

Stefan

Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert